Ranljivost sistema Windows se aktivira pri odpiranju Wordovih dokumentov

Raziskovalci odkriti nova ranljivost nič dneva, ki omogoča oddaljeno izvajanje zlonamerne programske opreme. Težava je bil enotni identifikator vira (URI), imenovan search-ms, ki aplikacijam in povezavam omogoča izvajanje iskanja v računalniku.

Sodobne različice sistema, vključno z operacijskimi sistemi Windows 11, 10 in 7, omogočajo Windows Search, da brska po datotekah lokalno in na oddaljenih gostiteljih. Napadalec lahko uporabi obdelovalec protokola, da na primer ustvari lažni imenik Center Windows posodobi in zavede uporabnika, da odpre zlonamerno programsko opremo, prikrito kot nadgradnja. Sodobni pa se običajno na takšne datoteke odzovejo in opozorijo uporabnika, zato je malo možnosti, da bi na ta način dobili klik. Toda prevaranti so odkrili druge načine za izkoriščanje te ranljivosti.

Kot se je izkazalo, je mogoče upravljalnik protokola search-ms kombinirati z ranljivostjo v Microsoft Office OLEObject, odkrito še prej. Omogoča vam, da zaobidete zaščito brskanja in zaženete obdelovalce protokolov URI brez interakcije uporabnika.

Predstavitev te metode se je pojavila na YouTubu: datoteka MS Word je bila uporabljena za zagon druge aplikacije - v tem primeru kalkulatorja. Ker search-ms omogoča spreminjanje imena iskalnega polja, lahko hekerji prikrijejo vmesnik, da zavedejo svoje žrtve.

Podobno je mogoče doseči in z dokumenti RTF. V tem primeru vam Worda niti ni treba zagnati. Novo iskalno okno se zažene, ko Explorer upodobi predogled datoteke v podoknu za predogled.

Microsoft ima navodila, kako odpraviti to ranljivost. Odstranitev upravljalnika protokola search-ms iz registra Windows bo pomagala zaščititi sistem. Za to:

• Pritisnite Win + R, vnesite cmd in pritisnite Ctrl + Shift + Enter, da zaženete ukazni poziv s skrbniškimi pravicami.
• Vnesite reg izvoz HKEY_CLASSES_ROOT\search-ms search-ms.reg in pritisnite Enter, da varnostno kopirate ključ.
• Po tem vnesite reg izbriši HKEY_CLASSES_ROOT\search-ms /f in pritisnite Enter, da odstranite ključ iz registra.

Microsoft že deluje odpravljanje ranljivosti v upravljalnikih protokolov in povezanih funkcijah sistema Windows. Vendar pa strokovnjaki pravijo, da bodo hekerji našli druge obdelovalce izkoriščanja in Microsoft bi morali namesto tega preprečiti, da bi se obdelovalci URL-jev izvajali v Officeovih aplikacijah brez poziva uporabnik.